JP2016218606A - Log management method and log management system - Google Patents
Log management method and log management system Download PDFInfo
- Publication number
- JP2016218606A JP2016218606A JP2015100922A JP2015100922A JP2016218606A JP 2016218606 A JP2016218606 A JP 2016218606A JP 2015100922 A JP2015100922 A JP 2015100922A JP 2015100922 A JP2015100922 A JP 2015100922A JP 2016218606 A JP2016218606 A JP 2016218606A
- Authority
- JP
- Japan
- Prior art keywords
- log
- program
- file
- white list
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ログ管理方法、および、ログ管理システムに関する。 The present invention relates to a log management method and a log management system.
近年、インターネットやUSB(Universal Serial Bus)メモリ等を経由して、業務で使用するプログラム(業務プログラム)だけでなく業務で利用しないプログラム(業務外プログラム)を端末等で実行する機会が増えている。業務外プログラムの悪質なものとしてはマルウェアが存在し、端末から外部へ情報を送信する等、情報漏えいを引き起こす原因となっている。そのため、業務外プログラムが行った処理を確認する技術が必要となっている。 In recent years, there are increasing opportunities to execute not only business programs (business programs) but also business programs (non-business programs) on terminals, etc., via the Internet or USB (Universal Serial Bus) memory. . Malware exists as a malicious program outside the business, causing information leakage such as sending information from the terminal to the outside. Therefore, a technique for confirming the processing performed by the non-business program is necessary.
業務外プログラムが行った処理を確認する方法として、ファイル操作に関するログを取得し確認する方法がある。例えば、Process Monitor(非特許文献1参照)等のファイル操作を確認する技術を利用することで未知のプログラムや人が行ったファイル操作に関するログを確認することができる。 As a method for confirming the processing performed by the non-business program, there is a method for obtaining and confirming a log related to file operation. For example, a log relating to an unknown program or a file operation performed by a person can be confirmed by using a technique for confirming a file operation such as Process Monitor (see Non-Patent Document 1).
しかし、上記の技術により業務外プログラムが行った処理に関するログを確認できるようにするためには、業務外プログラムを判別できないため、すべてのプログラムのファイル操作ログを取得する必要があり、ログの量が膨大になるという問題がある。そこで、定型業務で利用する端末を対象とすることで業務外プログラムを判別できるようにして、業務外プログラムのファイル操作ログだけを取得しつつ、取得するログの量を低減することを課題として、本発明ではこの課題を解決する。 However, in order to be able to check logs related to processing performed by non-business programs using the above technology, it is necessary to obtain file operation logs for all programs because the non-business programs cannot be identified. There is a problem that becomes enormous. Therefore, by making it possible to identify non-business programs by targeting terminals used in routine work, while acquiring only the file operation log of non-work programs, the problem is to reduce the amount of logs to be acquired, The present invention solves this problem.
前記した課題を解決するため、本発明は、定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力するログ管理方法であって、前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とする。 In order to solve the above-described problem, the present invention relates to an execution program set in a white list, or a combination of the execution program and a file storage area, among logs related to file operations in a terminal used in a routine job. A log management method for outputting a log excluding a log, wherein the execution program set in the white list is associated with an operation of a program used in business among logs related to file operations of the terminal acquired from a real environment. It is an execution program included in the first log which is a log.
本発明によれば、定型業務で利用する端末をログ取得対象として、業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。 ADVANTAGE OF THE INVENTION According to this invention, the amount of logs can be reduced, acquiring the log of the file operation which the non-business program performed by making into a log acquisition object the terminal utilized by a routine work.
以下、図面を参照しながら、本発明を実施するための形態(実施形態)を第1の実施形態〜第4の実施形態に分けて説明する。本発明は、各実施形態に限定されない。 Hereinafter, embodiments (embodiments) for carrying out the present invention will be described by dividing them into first to fourth embodiments with reference to the drawings. The present invention is not limited to each embodiment.
(第1の実施形態)
まず、第1の実施形態のシステム(ログ管理システム)の全体構成を説明する。例えば、図1に示すようにシステムは、クライアント10と、サーバ20とを備える。クライアント(端末)10は、定型業務を行う端末であり、例えば、クライアント10内の実行プログラム12により様々な処理を実行し、その処理内容(例えば、ファイル操作等のイベント)を表すログ(以下、適宜「ログ」と略す)のうち、ホワイトリスト15に合致するログを除外してサーバ20へ出力する。サーバ20は、クライアント10から取得したログを保存部22に記憶する。
(First embodiment)
First, the overall configuration of the system (log management system) of the first embodiment will be described. For example, as shown in FIG. 1, the system includes a
クライアント10は、データファイル11と、実行プログラム12と、監視ドライバ13と、エージェント14と、ホワイトリスト15とを備える。データファイル11は、実行プログラム12による実行対象ファイルであり、クライアント10の記憶部(図示省略)に記憶される。実行プログラム12は、クライアント10にインストールされ、実行されるプログラムであり、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラム、ウイルスバスター(登録商標)等のウイルススキャンプログラム等である。
The
監視ドライバ13は、実行プログラム12(以下、適宜「プログラム」と略す)によるデータファイル11のファイルI/Oを監視し、その監視結果をログとしてエージェント14に出力する。
The
エージェント14は、ホワイトリスト15に示される内容(実行プログラム情報、ファイルの記憶領域等)を除外フィルタに設定し、監視ドライバ13により出力されたログのうち、ホワイトリスト15に示される内容(条件)に合致するログを除外してサーバ20へ出力する。例えば、エージェント14は、監視ドライバ13により出力されたログのうちホワイトリスト15に設定されていないファイル操作イベントを表すログをサーバ20へ出力する。
The
ホワイトリスト15は、エージェント14がどのようなログを取得対象から除外すべきかを示したリストである。このホワイトリスト15には、例えば、図2に示すように、除外対象とする実行プログラム情報(例えば、除外対象外とする実行プログラムの名称や識別子等)と、実行プログラムがI/Oの対象とするファイルの記憶領域との組み合わせが設定される。ホワイトリスト15の詳細は後記する。
The
サーバ20は、受信部21と、保存部22とを備える。受信部21は、クライアント10から出力されたログを受信すると、このログを保存部22に登録する。例えば、受信部21は、クライアント10から出力されたファイル操作イベントを表すログを保存部22に登録する。保存部22は、クライアント10から出力されたログ(例えば、ファイル操作イベントを表すログ)を記憶する。
The
なお、ファイル操作イベントを表すログ(ファイル操作イベントログ)は、例えば、図3に示すようにイベント発生時刻、ファイル操作したプログラムの名前、ファイル操作したプログラムのID、ファイル操作したプログラムのハッシュ値、操作の種類、操作対象のファイルの名前、操作対象のファイルのパス等を示した情報である。 Note that a log representing a file operation event (file operation event log) includes, for example, as shown in FIG. 3, the event occurrence time, the name of the file operated program, the ID of the file operated program, the hash value of the file operated program, This is information indicating the type of operation, the name of the operation target file, the path of the operation target file, and the like.
(ホワイトリストの詳細)
ホワイトリスト15には、実環境のクライアント10から取得したファイル操作に関するログのうち、業務で使用されるプログラム(業務プログラム)の動作に伴うログに含まれる実行プログラム(実行プログラム情報)が設定される。例えば、システムの管理者等は、実環境のクライアント10から取得したファイル操作イベントログをログ種別1(業務プログラムのログ)と、ログ種別2(業務外プログラムのログ)とに分け、ログ種別1のログ(第一のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図4参照)。なお、業務プログラムの動作に伴うログは、例えば、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラムや、ウイルスバスター(登録商標)等のウイルススキャンプログラム等の動作に伴うログである。また、ホワイトリスト15に設定される実行プログラム情報(図2参照)は、例えば、業務プログラムのファイル操作イベントを表すログ(図3参照)に含まれるファイル操作したプログラムの名前等を用いる。
(Details of whitelist)
In the
クライアント10が上記のようにして設定されたホワイトリスト15を用いることにより、監視ドライバ13により出力されたログのうち、業務プログラムの動作に伴うログを除外してサーバ20へ出力することができる。つまり、クライアント10は、実行プログラム12のうち業務外プログラムの動作に伴うログをサーバ20に出力することができる。これによりシステムは、定型業務で利用するクライアント10をログ取得対象として、業務外プログラムが行ったログを取得しつつ、ログの量を低減することができる。
By using the
(第2の実施形態)
なお、ホワイトリスト15に、実環境で取得したファイル操作イベントログにおけるログ種別1のログ(業務プログラムのログ)のうち、ユーザの操作に関わらないログ(ログ種別1−2のログ。第二のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図5参照)。
(Second Embodiment)
In the
例えば、システムの管理者等は、まず、ログ種別1(業務プログラムのログ)をログ種別1−1のログ(ユーザの操作に関わるログ)とログ種別1−2(ユーザの操作に関わらないログ)とに分け、ログ種別2のログ(業務外プログラムのログ)をログ種別2−1(ユーザの操作に関わるログ)とログ種別2−2のログ(ユーザの操作に関わらないログ)とに分ける。そして、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図5参照)。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
For example, a system administrator or the like first sets log type 1 (business program log) to log type 1-1 log (log related to user operation) and log type 1-2 (log not related to user operation). Log type 2 log (log of non-business program) is divided into log type 2-1 (log related to user operation) and log type 2-2 (log not related to user operation). Divide. Then, an execution program (execution program information) included in the log of the log type 1-2 (the log of the business program that is not related to the user operation) is extracted and set in the white list 15 (see FIG. 5). Also, the system administrator or the like sets the storage area of the file that is the target of I / O by the execution program in the
なお、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)は、例えば、office(登録商標)プログラムがバックアップのために自動的に行うファイル作成のログ、ブラウザプログラムが画像等の一時保存用フォルダ内で行うファイル作成のログ、ウイルススキャンプログラムがファイルを解析するために行うファイル参照のログ等である。 Note that the log of log type 1-2 (logs of business programs that are not related to user operations) are, for example, file creation logs and browser programs that the office (registered trademark) program automatically performs for backup. Are a file creation log performed in a temporary storage folder such as an image, a file reference log performed by a virus scanning program to analyze the file, and the like.
クライアント10が上記のようにして設定されたホワイトリスト15を用いることで、例えば、クライアント10において業務外プログラムに関連するファイルを業務プログラムで操作した場合においても、当該操作に関するログをサーバ20へ出力することができる。一例を挙げると、クライアント10において業務プログラムを利用してマルウェアを複製、移動する操作をした場合や、マルウェアが生成したファイルを業務プログラムで複製、移動する操作をした場合においても当該操作に関するログをサーバ20へ出力することができる。これによりシステムは、サーバ20においてマルウェア等の業務外プログラムにより引き起こされた情報漏えい等について、その原因や影響を特定しやすくなる。
By using the
(第3の実施形態)
なお、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図6参照)。
(Third embodiment)
In the
例えば、システムの管理者等は、ログ種別1−2(業務プログラムのログのうちユーザの操作に関わらないログ)のログにおけるログ数(登場数)が所定値以上の実行プログラムを抽出し、ホワイトリスト15に設定する。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
For example, the system administrator or the like extracts an execution program in which the number of logs (number of appearances) in the log of type 1-2 (logs of business programs that are not related to user operations) is equal to or greater than a predetermined value. Set to list 15. Also, the system administrator or the like sets the storage area of the file that is the target of I / O by the execution program in the
また、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い上位の実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図7参照)。
In addition, the number of logs (number of appearances) in the log type 1-2 among the execution programs included in the log of the log type 1-2 (logs of business programs that are not related to user operations) is included in the
例えば、システムの管理者等は、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)におけるログ数(登場数)が多い実行プログラムのうち上位所定数の実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する。つまり、システムの管理者等は、ログ種別1−2のログに含まれる実行プログラムごとに、当該ログにおける登場数を集計し、集計した登場数が多い順に実行プログラムをソートし、ソートしたときの順位の高さに応じて選択された実行プログラムをホワイトリスト15に設定する。また、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
For example, the system administrator or the like may execute a predetermined number of upper-level execution programs among execution programs having a large number of logs (number of appearances) in log type 1-2 logs (logs of business programs not related to user operations). (Execution program information) is extracted and set in the
これによりシステムは、サーバ20においてマルウェア等の業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。
As a result, the system can reduce the amount of logs while acquiring a log of file operations performed by a non-business program such as malware in the
なお、第3の実施形態において、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラムがI/Oの対象とするファイルの記憶領域を設定することとしたが、これに限定されない。例えば、当該実行プログラムがI/Oの対象とするファイルの記憶領域のうち、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)における登場回数が所定値以上、または、登場回数が上位所定数の記憶領域をホワイトリスト15に設定してもよい。
In the third embodiment, among the execution programs included in the log of the log type 1-2 (the log of the business program that is not related to the user's operation) in the
(第4の実施形態)
なお、図8に示すように、システム内にホワイトリスト設定装置30を設け、このホワイトリスト設定装置30によりクライアント10に第1の実施形態〜第3の実施形態で述べたホワイトリスト15を設定してもよい。このホワイトリスト設定装置30は、入出力部31と、制御部32と、記憶部33とを備える。入出力部31は、他の装置(例えば、クライアント10)とのデータ入出力を司るインタフェースである。例えば、入出力部31はクライアント10へホワイトリスト15の設定情報を出力する。
(Fourth embodiment)
As shown in FIG. 8, a white
記憶部33は、実環境で取得したファイル操作イベントログ(ログ)を記憶する。例えば、記憶部33は、クライアント10の実行プログラム12により行われたファイル操作を示すファイル操作イベントログを記憶する。
The
制御部32は、記憶部33に記憶されたログを分類し、分類されたログから実行プログラムを抽出することで、前記した第1の実施形態〜第3の実施形態のいずれかのホワイトリスト15を設定する。
The
このようにすることでホワイトリスト15を自動で設定することができる。
In this way, the
なお、ホワイトリスト設定装置30は、クライアント10やサーバ20と別箇の装置として説明したが、これに限定されない。例えば、ホワイトリスト設定装置30の機能をクライアント10に組み込んでもよいし、サーバ20に組み込んでもよい。
Although the white
(プログラム)
また、上記実施形態に係るシステムが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、システムと同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。
(program)
It is also possible to create and execute a program in which processing executed by the system according to the above-described embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed to execute the same processing as in the above embodiment. An example of a computer that executes a log management program that realizes the same function as the system will be described below.
図9は、ログ管理プログラムを実行するコンピュータを示す図である。図9に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 9 is a diagram illustrating a computer that executes a log management program. As shown in FIG. 9, the
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図9に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した情報等は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
Here, as shown in FIG. 9, the hard disk drive 1090 stores, for example, an
また、ログ管理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したシステムが実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
Further, the log management program is stored in the hard disk drive 1090 as a program module in which a command executed by the
また、ログ管理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Further, data used for information processing by the log management program is stored in the hard disk drive 1090 as program data, for example. Then, the
なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 クライアント
11 データファイル
12 実行プログラム
13 監視ドライバ
14 エージェント
15 ホワイトリスト
20 サーバ
21 受信部
22 保存部
30 ホワイトリスト設定装置
31 入出力部
32 制御部
33 記憶部
DESCRIPTION OF
Claims (6)
前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とするログ管理方法。 This is a log management method that excludes and outputs logs related to file operations on terminals used in routine tasks, including execution programs set in a white list or a combination of execution programs and file storage areas. And
The execution program set in the white list is an execution program included in a first log which is a log associated with the operation of a program used in business among logs related to file operations of the terminal acquired from the actual environment. A log management method.
前記第一のログのうちユーザのファイル操作に関わらないログである第二のログに含まれる実行プログラムであることを特徴とする請求項1に記載のログ管理方法。 The execution program set in the white list is:
The log management method according to claim 1, wherein the log management method is an execution program included in a second log that is a log that is not related to a user's file operation among the first log.
前記第二のログに含まれる実行プログラムのうち、当該第二のログにおける登場数の多さに応じて選択された実行プログラムであることを特徴とする請求項2に記載のログ管理方法。 The execution program set in the white list is:
The log management method according to claim 2, wherein the execution program is selected according to the number of appearances in the second log among the execution programs included in the second log.
前記第二のログに含まれる実行プログラムが用いるファイルの記憶領域のうち、前記第二のログにおける登場数が所定値以上の記憶領域と、前記実行プログラムとの組み合わせであることを特徴とする請求項2に記載のログ管理方法。 The combination of the execution program set in the white list and the file storage area is as follows:
The storage program of a file used by an execution program included in the second log is a combination of a storage area in which the number of appearances in the second log is a predetermined value or more and the execution program. Item 3. The log management method according to Item 2.
前記第二のログに含まれる実行プログラムごとに、当該第二のログにおける登場数を集計し、集計した登場数が多い順に前記実行プログラムをソートし、ソート後の順位が所定値以上の実行プログラムであることを特徴とする請求項3に記載のログ管理方法。 The execution program set in the white list is:
For each execution program included in the second log, the number of appearances in the second log is totaled, the execution programs are sorted in descending order of the total number of appearances, and the ranking after the sorting is a predetermined value or more The log management method according to claim 3, wherein:
前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とするログ管理システム。
This is a log management system that excludes and outputs logs related to file operations on terminals used in routine tasks, including execution programs set in a white list or combinations of execution programs and file storage areas. And
The execution program set in the white list is an execution program included in a first log which is a log associated with the operation of a program used in business among logs related to file operations of the terminal acquired from the actual environment. A log management system characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015100922A JP6386415B2 (en) | 2015-05-18 | 2015-05-18 | Log management method and log management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015100922A JP6386415B2 (en) | 2015-05-18 | 2015-05-18 | Log management method and log management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016218606A true JP2016218606A (en) | 2016-12-22 |
JP6386415B2 JP6386415B2 (en) | 2018-09-05 |
Family
ID=57578414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015100922A Active JP6386415B2 (en) | 2015-05-18 | 2015-05-18 | Log management method and log management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6386415B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006163931A (en) * | 2004-12-08 | 2006-06-22 | Ntt Data Corp | Log acquisition management system and method |
JP2006276987A (en) * | 2005-03-28 | 2006-10-12 | Nomura Research Institute Ltd | Url audit support system and url audit support program |
JP2007280013A (en) * | 2006-04-06 | 2007-10-25 | Internatl Business Mach Corp <Ibm> | Method and program for controlling communication by information processor |
JP2007317130A (en) * | 2006-05-29 | 2007-12-06 | Nippon Telegr & Teleph Corp <Ntt> | Information processor and program |
JP2011150490A (en) * | 2010-01-20 | 2011-08-04 | Ivex Kk | Program, apparatus and method for file control |
US20150082441A1 (en) * | 2013-09-17 | 2015-03-19 | Qualcomm Incorporated | Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis |
-
2015
- 2015-05-18 JP JP2015100922A patent/JP6386415B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006163931A (en) * | 2004-12-08 | 2006-06-22 | Ntt Data Corp | Log acquisition management system and method |
JP2006276987A (en) * | 2005-03-28 | 2006-10-12 | Nomura Research Institute Ltd | Url audit support system and url audit support program |
JP2007280013A (en) * | 2006-04-06 | 2007-10-25 | Internatl Business Mach Corp <Ibm> | Method and program for controlling communication by information processor |
JP2007317130A (en) * | 2006-05-29 | 2007-12-06 | Nippon Telegr & Teleph Corp <Ntt> | Information processor and program |
JP2011150490A (en) * | 2010-01-20 | 2011-08-04 | Ivex Kk | Program, apparatus and method for file control |
US20150082441A1 (en) * | 2013-09-17 | 2015-03-19 | Qualcomm Incorporated | Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis |
Also Published As
Publication number | Publication date |
---|---|
JP6386415B2 (en) | 2018-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Duan et al. | Detective: Automatically identify and analyze malware processes in forensic scenarios via DLLs | |
CN103839003B (en) | Malicious file detection method and device | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
JP6042541B2 (en) | Security information management system, security information management method, and security information management program | |
US20180063171A1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
CN106997367B (en) | Program file classification method, classification device and classification system | |
US10956664B2 (en) | Automated form generation and analysis | |
JP6687761B2 (en) | Coupling device, coupling method and coupling program | |
US9256519B2 (en) | Using linked data to determine package quality | |
Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
CN111183620B (en) | Intrusion investigation | |
US20230342374A1 (en) | Systems and methods for data indexing with user-side scripting | |
US9336025B2 (en) | Systems and methods of analyzing a software component | |
JP5441043B2 (en) | Program, information processing apparatus, and information processing method | |
Namanya et al. | Evaluation of automated static analysis tools for malware detection in Portable Executable files | |
JP6454617B2 (en) | Malware operating environment estimation method, apparatus and system thereof | |
Gregorio et al. | Forensic analysis of Telegram messenger desktop on macOS | |
JP7031438B2 (en) | Information processing equipment, control methods, and programs | |
Gregory Paul et al. | A framework for dynamic malware analysis based on behavior artifacts | |
US9280369B1 (en) | Systems and methods of analyzing a software component | |
JP6386415B2 (en) | Log management method and log management system | |
CN106372508B (en) | Malicious document processing method and device | |
US10157049B2 (en) | Static analysis with input reduction | |
CA3144122A1 (en) | Data verifying method, device and system | |
JP6740184B2 (en) | Granting device, assigning method, and assigning program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170828 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180426 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180704 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180809 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6386415 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |